Noch vor ein paar Jahren waren Zertifikate für verschlüsselte HTTPS-Webseiten noch relativ teuer. Inzwischen gibt es aber einen neuen Trend, TLS-Zertifikate mehr und mehr kostenlos verfügbar zu machen.
Wosign ist jetzt zu dem Kreis der Zertifizierungsstellen gestoßen, die kostenlose Zertifikate ausstellen. Wosign hat seinen Sitz in Shenzhen / China, was vermutlich bei manchem für Vorbehalte sorgt.
Aus technischer Sicht sind Vorbehalte gegen Wosign aber unbegründet. Das Problem ist eher das Interface für die Beantragung eines Zertifikats aus China. Wer kein Mandarin versteht, hat da eher schlechte Karten.
Eine inoffizielle englischsprachige Anleitung mit Screenshots im Blog von Freerk Ohling hilft aber zusammen mit Google Translate, auch ohne Mandarin-Sprachkenntnisse ein Zertifikat zu bestellen.
Alternativ liefert auch die israelische Firma StartSSL ebenfalls kostenlose TLS-Zertifikate. Die gelten allerdings nur ein Jahr lang und dürfen auch nicht für kommerzielle Projekte benutzt werden.
Hallo,
ich habe mir gestern ein Zertifikat von WoSign erstellen lassen.
In diesem Zertifikat sind mehrere Domainnamen hinterlegt, auch welche, die vor drei Tagen erst registriert wurden. Also noch niemanden bekannt sind.
Heute Morgen habe ich das Zertifikat auf meinem Webserver eingebunden. 10 Minuten nach dem Testaufruf einer der neuen Domains via https, um zu testen ob das Zertifikat funktioniert, begann eine Welle von Anfragen auf meinen Server niederzuprasseln.
Es waren alles POST- und GET-Requests mit allen möglichen Variablen in der URL.
Ein Loginformular wurde mit PHP-Befehlen als Benutzername.
Es waren ca. 4500 Anfragen an den Server innerhalb von zwei Minuten, in welchem nach bestimmten Dateinamen auf dem Webordner gesucht wurde.
Nach zwei Minuten haben fail2ban und diverse andere Tools auf meinem Server alarmgeschlagen und die jeweiligen IP-Adressen gebannt, sonst wären es wohl noch mehr Anfragen gewesen.
Ich will niemanden etwas unterstellen, aber die Anfragen gingen nur an die Domainnamen, welche in dem Zertifikat hinterlegt wurden.
In den Whoisdaten der IP-Adressen, von den die Anfragen kamen, ist folgende Firma eingetragen:
123.125.160.213, 123.125.160.214, 123.125.160.215, 123.125.160.216, 123.125.160.217
China Unicom Beijing province network
218.30.117.72
Beijing Telecom corporation CHINA
Deshalb rate ich von diesen Chinesischen Zertifikaten dringend ab,
da die meisten Nutzer die solch ein „kostenloses“ Zertifikat verwenden wollen,
meist keine Ahnung haben, wie man einen Server wirklich gut absichert.